Búsqueda bibliográfica Sistemas Integrados de

Seguridad SIS

Ingeniería en Electrónica y Automatización

Universidad de las Fuerzas Armadas “ESPE”

Instrumentación Industrial
Departamento de Eléctrica y Electrónica

Ing. Electrónica ESPE

NRC:

4890-4853

02/08/2021
Introducción
La seguridad funcional cubre una amplia gama de dispositivos que se interconectan para
formar un sistema de seguridad que se encarga de llevar el proceso a su estado seguro. Pocos
profesionales en seguridad tienen conocimiento del tema de Sistemas Instrumentados de
Seguridad (SIS) pero no lo aplican, demostrando así la ausencia de los mismos en los
procesos industriales.
Muchos accidentes ocurridos pudieron haber sido evitados si en las instalaciones en
donde ocurrieron se hubieran dispuesto los sistemas antes mencionados, pero como se
mencionó anteriormente, la seguridad funcional no se aplica en muchas industrias
provocando que el riesgo para el personal aumente debido a que no se garantiza un entorno
seguro de trabajo.

Seguridad Funcional

En los últimos años la Seguridad Funcional ha adquirido cada vez mayor relevancia en
toda la industria. Los sistemas que protegen las plantas industriales de los diversos incidentes
operacionales tienen que tener una fiabilidad adecuada. Se les exige que respondan
realizando su función en el momento que se requiere. Para lograr esto, la participación de los
especialistas en Mantenimiento es necesaria en diversas etapas del ciclo de vida, no sólo
después de instalado el sistema en la planta. [1]

La norma IEC 61508:2010 trata de cubrir la parte de la seguridad funcional y la define

como la parte de la seguridad relacionada con los procesos o equipamientos bajo control y a
los sistemas de control de los mismos, que dependen del funcionamiento correcto de los
dispositivos eléctricos/electrónicos/electrónicos programables (E/E/PE, por sus siglas en
inglés). La norma ofrece el ejemplo siguiente para aclarar lo que significa la seguridad
funcional: “un dispositivo de protección contra el aumento de la temperatura que usa un
sensor térmico en el enrollado (bobinado) de un motor eléctrico para desproveer de energía,
antes de que el mismo se sobrecaliente, es seguridad funcional. Pero instalar aislamiento
especializado para resistir las altas temperaturas no es seguridad funcional (aunque sí es una
medida de seguridad y puede proteger contra el mismo peligro)”. Un dispositivo de parada de
una prensa que use un rayo infrarrojo que ofrece la información de entrada, cuando se
bloquea el mismo al penetrar una mano o un brazo en su zona, para desproveer de energía el
motor que mueve a la prensa y detener el movimiento de la misma, es un ejemplo de
seguridad funcional, pero no lo es una barrera física que impida que la mano o el brazo entren
en la prensa aunque proteja contra el mismo peligro.

La seguridad funcional abarca un gran conjunto de dispositivos que son utilizados para
garantizar la seguridad de los sistemas. Dispositivos como los enclavamientos, rayos de
luces, relés de seguridad, PLCs de seguridad, contactores e interruptores seguros, son ejemplo
de ello. Debe destacarse que hay muchas formas de garantizar a la seguridad, la seguridad
funcional es una de ellas y, dado el aumento creciente del uso de la automatización en
nuestras vidas, está cada vez más presente en todos los equipos y procesos que se usan en
todas las industrias y servicios, además de muchos objetos; los más típicos los autos.
Específicamente en las industrias donde se trabaja con sustancias y/o procesos que pueden ser
muy peligrosos, la seguridad funcional tiene una importancia vital, ya que está relacionada
con una de las capas de protección más importante de los mismos, que son los “Sistemas
Instrumentados de Seguridad”, que garantizan las paradas de emergencia. Es el objetivo del
presente artículo hacer una introducción a este importante tema que en algún momento
tomará fuerza legal en la industria de procesos peligrosos en Colombia, tal como ha estado
ocurriendo en otros países a medida que se desarrollan industrialmente. [2]

Análisis de riesgo

“Análisis de riesgo examina la eficacia de los puntos de control del proceso frente a tensiones
para determinar cuando algo va a fallar. También puede significar el nivel de riesgo que
puede ser esperado en un curso de acción dado y la probabilidad de fracaso – como él
probabilidad de fracaso del proyecto si se toma o no una acción determinada.”
El análisis de riesgo, también conocido como evaluación de riesgos o PHA por sus siglas en
inglés. Process Hazards Analysis, es el estudio de las causas de las posibles amenazas y
probables eventos no deseados y los daños y consecuencias que éstas puedan producir. Este
tipo de análisis es ampliamente utilizado como herramienta de gestión en estudios financieros
y de seguridad para identificar riesgos (métodos cualitativos) y otras para evaluar riesgos
(generalmente de naturaleza cuantitativa). El primer paso del análisis es identificar los activos
a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado
durante el proceso de análisis con criterios de riesgo establecidos previamente. La función de
la evaluación consiste en ayudar a alcanzar un nivel razonable de consenso en torno a los
objetivos en cuestión, y asegurar un nivel mínimo que permita desarrollar indicadores
operacionales a partir de los cuales medir y evaluar.
Los resultados obtenidos del análisis, van a permitir aplicar alguno de los métodos para el
tratamiento de los riesgos, que involucra identificar el conjunto de opciones que existen para
tratar los riesgos, evaluarlas, preparar planes para este tratamiento y ejecutarlos.

TIPOS DE ANÁLISIS

A diferencia de los análisis SWOT y PESTEL, un análisis del riesgo no solo examina la
situación actual, sino que pregunta qué puede salir mal. Analiza la probabilidad de que surjan
problemas nuevos o de que empeoren amenazas o debilidades existentes, y su impacto
potencial en la campaña. El análisis del riesgo es necesario a fin de elaborar planes para
situaciones imprevistas y de emergencia.
En concreto, un análisis del riesgo examina:
● Las amenazas externas que pueden afectar al público destinatario en general o en
relación con la campaña, por ejemplo un aumento de los sentimientos religiosos
conservadores o la probabilidad de conflictos armados.
● Las amenazas externas que pueden afectar a la campaña, por ejemplo la promulgación
de una ley que limita el activismo de las ONG, un cambio de gobierno o de política, o
una nueva política de educación que podría obstaculizar el acceso a la enseñanza.
● Las amenazas internas que pueden afectar la capacidad para ejecutar la campaña, por
ejemplo perder a un miembro de la alianza o algunos participantes clave ya no pueden
estar disponibles para la campaña.

PARÁMETROS

Para diseñar el SIS (“Safety Instrumented System”) según la norma IEC 61511 hay que
cumplir diversos requerimientos a lo largo de todo su ciclo de vida. El cumplimiento del nivel
SIL asignado a cada SIF (“Safety Instrumented Function”) es uno de estos requerimientos, y
se realiza calculando la Probabilidad media de fallo en demanda (PFDavg para el modo en
baja demanda) o la Probabilidad de fallo por hora (PFH para el modo en alta demanda).
Veamos a continuación cuáles son los 6 parámetros más importantes cuando calculamos el
valor de PFDavg. [17]

Fórmulas de las arquitecturas 1oo1 y 1oo2:

● TASA DE FALLOS POR HORA

La más importante es la tasa de fallos “peligrosos no detectados” que se representa

con la letra λDU (“Dangerous Undetected”). Al ser un valor muy pequeño suele
medirse en FITS multiplicando su valor por 109. La tasa de fallos “peligrosos
detectados” λDD también interviene en el cálculo, aunque impacta poco. [17]

● TIEMPO DE VIDA

La norma IEC 61511 declara un Tiempo de Vida o Ciclo de Vida de Seguridad del
SIS (CVS) con actividades bien definidas y una colección de requisitos (más de 700,
todos de estricto cumplimiento) para que el SIS logre alcanzar la Seguridad
Funcional. El CVS es una de las principales herencias de esta norma, el seguimiento
del CVS es fundamental para minimizar las fallas sistemáticas que son introducidas
por nuestra forma de trabajar.

El CVS define cada fase en actividades de entrada, salidas y actividades de

verificación, que deben ser realizadas en un orden específico. Es muy importante
entender que, el CVS es particular de cada involucrado en la vida del SIS; por
ejemplo, el CVS del integrador será diferente al de quien hace la ingeniería y también
al del usuario final.[16]

Suele representarse con las siglas LT (“Life Time”) o MT (“Mission Time”). Es el

tiempo de vida de la SIF que varía normalmente entre 10 y 20 años. [17]

● INTERVALO DE PRUEBAS

Es la frecuencia de las pruebas funcionales de la SIF (en inglés se denominan “Proof

Tests”), es decir, cada cuanto tiempo se realizan las pruebas (en meses o años). Este
intervalo TI está directamente relacionado con las paradas de mantenimiento de la
planta. Puede ser diferente para cada subsistema de la SIF, por ejemplo, entre 1 y 4
años para el sensor, entre 2 y 5 años para el logic solver, y entre 1 y 2 años para el
elemento final. [17]
 ● EFECTIVIDAD DE LAS PRUEBAS FUNCIONALES

Este parámetro se representa como PTC (“Proof Test Coverage”) o Cpt, y lo que
cuantifica es el porcentaje de “Fallos Peligrosos No Detectados” (en inglés
“Dangerous Undetected Failures”) que somos capaces de detectar durante las pruebas
funcionales manuales de mantenimiento (“proof tests”). Para los sensores y logic
solver suele ser un valor entre 90 y 95%, y para el elemento final entre 70 y 90%,
dependiendo del tipo de pruebas que realicemos. [17]

● FACTOR BETA

Este factor β cuantifica el impacto, en las arquitecturas redundantes (1oo2, 2oo3, etc.),
de los “fallos de causa común” que afectan simultáneamente a todos los canales. Debe
cuantificarse en cada caso. Valores habituales de este parámetro son 5% para el
sensor, 2% para el logic solver, y 10% para el elemento final. [17]

● TIEMPO MEDIO DE RESTABLECIMIENTO

La abreviatura de este parámetro es MTTR (“Mean Time To Restore”) y es la suma

del tiempo de detección de un fallo peligroso (MDT) y el tiempo de reparación y
restablecimiento (MRT). Normalmente se utilizan valores entre 8 y 72 horas.

Se consume tiempo en arreglar las desviaciones del sistema cuando no se realiza de

acuerdo al cuerpo ordenado administrativo que indica el Ciclo de Vida de Seguridad
del SIS, debido a que se ocupa el tiempo en re-trabajos, aumenta el número de
correcciones y cambios durante el diseño, configuración y entrega del sistema. [17]

● RECURSOS TECNOLÓGICOS

Se debe elegir los sensores, solucionador lógico y elementos finales de control para el
SIS de acuerdo a las SRS, se debe diseñar la arquitectura que cumpla con el SIL
requerido y la más conveniente para el manejo de nuestro sistema.[15]

¿Qué es un SIS?

Un Sistema Instrumentado de Seguridad (SIS) es la implementación en un proceso crítico de

una, o varias Funciones Instrumentadas de Seguridad (SIF). Y consiste en cualquier
combinación de sensores, controladores lógicos y elementos finales de control que garanticen
la operación segura del proceso en caso de una falla inaceptable. Estando el proceso en
operación o no, un SIS debe activar un estado de seguridad en caso de cualquier problema.
Evitando así cualquier atentado a la seguridad, salud y medio ambiente.

Un buen ejemplo de proceso crítico es la operación de una caldera. Donde el SIS deberá
tomar en cuenta el control de toda variable crítica, como por ejemplo, la presión de vapor.
Para cada variable, deberá determinarse las funciones que tiene que cumplir el SIS,. También,
deberá definirse qué tan extenso tiene que ser desarrollado el SIS para garantizar la seguridad
en planta.

Un SIS tiene funciones de control específicas llamadas Funciones Instrumentadas de

Seguridad (SIF). Así mismo, cada SIF tiene un Nivel de integridad de Seguridad (SIL). Un
SIS debe tener tantos SIF sean necesarios por Operación Unitaria. Cada SIF tiene como
misión mitigar los riesgos de cada escenario que pueda poner en peligro la integridad de la
operación unitaria.
Por un lado, las funciones de un SIS pueden ser verificadas mediante técnicas de análisis de
diseño. Algunos de los más comunes, pero no los únicos, son el Análisis Modal de Fallos y
Efectos AMFE (o FMECA en Inglés); Pruebas de Validación de Proceso; Pruebas de
Validación de Planta; entre otros. Por otro lado, para asegurar la integridad y seguridad de
operación, es necesario utilizar otro tipo de técnicas de análisis. Entre ellos se encuentra el
Análisis Funcional de Operatividad AFO (o HAZOP en Inglés); el Análisis de Capas de
Protección ( o LOPA en Inglés); Gráficas de Riesgos, entre otros. Lo que tienen en común, es
que estas técnicas analizan la fiabilidad del SIS, y calcula su probabilidad de fallo.
Es imposible considerar todos los factores que afectan la fiabilidad del SIS basado en estos
cálculos. Por este motivo es necesario agregar otros procedimientos, entrenamientos y
capacitaciones para evitar, descubrir y corregir fallas relacionadas al SIS. [3]

Los Sistemas Instrumentados de Seguridad son responsables por la seguridad operacional y

garantizan las paradas de emergencia dentro de límites considerados seguros, siempre que se
ultrapasen estos límites. El objetivo principal es evitar accidentes dentro y fuera de las
fábricas, tales como incendios, explosiones, daños a los equipos, además de proteger la
producción y la propiedad, evitando riesgos de vida o daños a la salud de las personas e
impactos catastróficos a la comunidad. Téngase en cuenta todavía que ningún sistema es
totalmente inmune a fallos y siempre deben proveer una condición segura en caso de fallo
mecánico.

Durante muchos años los sistemas de seguridad fueron proyectados según los padrones
alemanes DIN V VDE 0801 y DIN V 19250, que fueron bien aceptados por mucho tiempo
por la comunidad mundial de seguridad y culminó en los esfuerzos de alcanzar un estándar
internacional, el IEC 61508. Esta norma actualmente abarca todos los aspectos de seguridad
industrial involucrando sistemas eléctricos, electrónicos y dispositivos programables para
cualquier sector de actividad, notadamente los de naturaleza electromecánica. [4]

Capas de protección

Una de las etapas fundamentales en la implementación de sistemas instrumentados de

seguridad es la determinación del nivel de integridad requerido por las funciones
instrumentadas de seguridad a desarrollarse, para definir este nivel tiene que realizarse un
análisis de capas independientes de protección evaluando su efectividad en la reducción del
riesgo, para que el riesgo remanente sea cubierto por el SIS y de esta forma asociarlo a un
nivel de integridad (SIL) requerido.[5]

Figura . Desarrollo de un escenario peligroso

Existen diversas maneras de hacer esto, pero los principios de evaluación deben ser los
mismos. Una de las técnicas más utilizadas para tal fin es el Análisis de Capas de Protección
o LOPA por sus siglas en inglés. Algunas de las capas de protección típicas son, control
básico del proceso, alarmas y acción del operador, sistemas de relevo e integridad mecánica,
y cada una de ellas, representa una “barrera” en el camino del desarrollo de un evento
peligroso. Así mismo existen cuatro principios en la evaluación de ellas, siendo uno de los
fundamentales la independencia.

Exploremos ahora los principios que rigen la evaluación de las capas independientes de
protección (IPL, por sus siglas en inglés):

● Independencia
● Efectividad
● Especificidad
● Auditabilidad

Independencia: Cada capa de protección debe guardar independencia entre el control básico
del proceso y entre otras capas de protección. Este principio fundamental tiene la intención de
evitar fallas de causa común, teniendo con esto una reducción de riesgo “acumulada” por
cada capa de protección dependiendo del grado de efectividad. Desde luego esto no
significará que la ecuación de riesgo se haga asintótica a cero, ya que esto no es posible
porque siempre existirá un número finito de capas y una probabilidad de falla inherente.

Efectividad: Las capas de protección deben tener una confiabilidad ” expedita ” de cuando
menos el 90% por cada una de ellas, desde luego si una capa de protección es independiente
pero con una probabilidad de falla muy alta, supongamos el 50%, no contribuirá
significativamente en la reducción del riesgo, ni siquiera en un orden de magnitud, por lo
tanto no tiene caso mantener una capa de protección de baja efectividad.
Especificidad: Una capa de protección debe ser exclusiva para un riesgo en particular, la
multifuncionalidad aquí no tiene mucha cabida, por tanto debe definirse claramente el evento
peligroso a evitar para poder definir la barrera dedicada que puede combatirlo. Por ejemplo
un sistema de relevo de presión para un evento de sobrepresión diseñado para expansión
térmica no servirá de nada si el evento de sobrepresión es debido a una descarga bloqueada.

Auditabilidad: Se debe demostrar que cada capa ha sido concebida, diseñada, mantenida y
operada para el combate de un riesgo en particular y conserva los principios de evaluación
que la hacen ser una capa de protección. Es necesario mantener “en forma” cada capa de
protección. La documentación y trazabilidad, como en todo proceso ordenado, es
fundamental para lograr los fines perseguidos. Tratándose de seguridad esto se vuelve más
restrictivo.

El procedimiento general de la técnica LOPA consiste en señalar la causa del riesgo,

típicamente conocido como “evento iniciador”, el cual proviene de un estudio de análisis de
peligros de proceso (PHA, por sus siglas en inglés) encontrar las capas independientes de
protección (evaluación de salvaguardas para considerarlas como IPL’s) en el orden
cronológico de aparición en la secuencia de un accidente, elaborar la ruta lógica de fallas de
las capas para que se presente el accidente (normalmente una compuerta lógica “AND”), e
indicar el estado final del accidente resultante: nube tóxica, incendio, daños materiales,
fatalidades o contaminación, pueden ser ejemplos de resultados de accidentes. Para efectos de
determinar un SIL objetivo de una función instrumentada de seguridad, no debe incorporarse
esta capa al correr el análisis LOPA inicial.[6]

Figura . Capas de protección de LOPA

Una vez evaluadas las capas de protección, también pueden utilizarse otras técnicas para
determinar SIL requerido, como la matriz de riesgo o el gráfico de riesgo, como las que se
muestran en la parte 3 de ISA 84.00.01, que son técnicas más cualitativas, pero que ofrecen la
ventaja de mostrar el mapa de riesgo en forma gráfica y para ciertas aplicaciones es suficiente
con esta aproximación. Al aplicar estas técnicas, una vez que se ha determinado la frecuencia
del evento y la consecuencia sin considerar abatimiento adicional, el valor indicado de SIL en
estas gráficas se reduce en 1 por cada capa independiente de protección justificada.

Hay que tomar muchas precauciones al utilizar estas técnicas como las indicadas en las partes
informativas de lEC 61511, 61508 e ISA 84.00.01, así como en la literatura específica. La
evaluación de capas de protección proporciona un medio eficiente y auditable de las medidas
de reducción del riesgo. Su desarrollo requiere de un examen concienzudo y preciso en
ingeniería de seguridad funcional si no quiere devaluarse o subvaluarse el estado de
seguridad de una instalación.

Uno de los factores más importantes en la evaluación es la independencia, es común cometer

errores a este respecto. Debido a los cuatro criterios que deben cumplir las IPL se pude decir
que “no todas las salvaguardas son IPL’s, pero todas las IPL’s son salvaguardas”

¿Qué es un SIL?

SIL, Nivel de Integridad de Seguridad (SIL, Safety Integrity Level)

El Nivel de Integridad de la Seguridad (en inglés Safety Integrity Level SIL) es un atributo
relacionado con las Funciones Instrumentadas de Seguridad (SIF). Y se define como la
probabilidad con la que un SIF va a realizar satisfactoriamente su tarea específica. En
general, los niveles de integridad (SIL) se clasifican en 4. La clase SIL 1 para la integridad
más baja, hasta la clase SIL 4, para el nivel de integridad más alto. La rigurosidad de cada
clase depende del estándar IEC que se aplique. [14]

El concepto de integridad de la seguridad SIL se limita a los sistemas eléctricos, electrónicos,

y electrónicos programables. También a los sistemas relacionados con la seguridad descritos
en el estándar IEC61508. Así como también para los Sistemas Instrumentados de Seguridad
descritos en el estándar IEC61511. No obstante, el concepto podría ser ampliado a otros
sistemas. [14]

Uno de los objetivos del Ciclo de Vida de la Seguridad (SLC), es el de determinar el nivel de
SIL de las Funciones de Seguridad (SIF). Basado en el Análisis Funcional de la Operatividad
(HAZOP), el Análisis de Capas de Operación (LOPA) y otros. Es posible determinar el nivel
mínimo de SIL que asegure la integridad de la seguridad del sistema; la integridad de la
seguridad del hardware; la integridad de la seguridad del software; el buen diseño y
restricciones ligados a la arquitectura (SFF); la cuantificación del efecto aleatorio de que se
produzca una falla (PFDavg o PFH); entre otros requisitos. [14]

De deducir el SIL directamente de un cálculo de PFDavg. Aunque con menos frecuencia, es

también una mala práctica deducir el SIL de una simple verificación de restricciones
arquitectónicas. De hecho, un “informe SIL” debería definir con precisión las limitaciones en
términos de requisitos de seguridad. En cuyo caso, un “Certificado SIL” no puede otorgarse
si no se alcanza el conjunto de requisitos de seguridad necesario.

Capas de Prevención:

1. Proceso.- El proceso por sí mismo debe ser intrínsecamente seguro (proporcionar
seguridad al operador).
2. Sistema de Control Básico de Procesos (BPCS).- Brinda seguridad a través del
diseño apropiado del control de proceso. Consiste en controles básicos, alarmas y
supervisión del operador.
3. Alarmas, Intervención del Operador.- Alarmas críticas que alertan a los operadores
acerca de una condición en la cual una medición ha excedido sus límites especificados
y podría requerir intervención.
4. Sistema Instrumentado de Seguridad.- El SIS opera independientemente del BPCS
para brindar seguridad. Realiza acciones de parada cuando las capas previas no
pueden resolver una emergencia.
5. Dispositivos de alivio.- Emplea válvulas, dispositivos de alivio de presión o un
sistema de antorcha (si hay presencia de combustibles) para impedir una ruptura,
derrame u otro escape no controlado.

Capas de Mitigación:

6. Protección Física.- Capa de protección pasiva. Hace referencia a la infraestructura

física de la planta que se encarga de contener derrames que pudieran darse.
7. Respuesta de la planta.- Es una capa pasiva. Consiste en barreras de contención
contra fuego o explosiones como así también procedimientos para evacuación.
8. Respuesta de la comunidad.- Nivel final de protección. Se refiere a bomberos y
otros servicios de emergencia.

Cada capa de protección adicional consiste de un conjunto de equipos y/o controles

administrativos, que interactúan con otras capas de protección, reduciendo de esta manera el
riesgo [6].

Determinación del SIL

1. Probabilidad de Falla a la Demanda (PFD, Probability of Failure on Demand).

Es un valor que indica la probabilidad de que un sistema falle al responder a una demanda
[10].
2. Disponibilidad de Seguridad.

Indica la probabilidad de disponibilidad del sistema ante un evento. Este dato se puede
obtener de la operación.

A = 1 - PFD

3. Factor de Reducción de Riesgo (RRF, Risk Reduction Factor).

Es un valor que revela la cantidad en la que se puede reducir un riesgo ante un evento. Este
dato se puede obtener de la operación[10].

RRF = 1 / PFD

Figura . SIL.

La aplicación del análisis SIL a instalaciones de proceso permitirá:

1. Incrementar la seguridad de las instalaciones.

2. Detectar las necesidades de seguridad de los distintos procesos industriales.

3. Reducir la propiedad de daño a la propiedad.

4. Interrupción de producción.

5. Contaminación medio ambiental.

6. Verificar los niveles de seguridad de las distintas capas de protección implantadas en las
instalaciones.

7. Diseñar e implementar un plan de mantenimiento y prueba de los SIS.

8. Adecuarse a las normativas ANSI/ISAS84.01 2004 e IEC 61508/61511 sobre SIS y

seguridad funcional[10].
Modos de Fallas SIS

La principal preocupación para un sistema de seguridad no debería ser cómo opera el

sistema sino cómo podría fallar. Esta es la razón principal porque los SIS difieren de los
sistemas activos de control.
Las fallas no solo pueden ser categorizadas en seguras y peligrosas sino también cómo
detectadas y no detectadas. Las fallas seguras son mostradas en la parte superior y las
fallas peligrosas en la parte inferior, así también, las fallas detectadas son mostradas en la
parte izquierda y las fallas no detectadas en la parte derecha.

Figura. Modos de Fallas

Fallas Seguras/Peligrosas

Los sistemas pueden sufrir fallas esporádicas que podrían ocasionar el apagado de algún
proceso cuando no hay una situación real de emergencia. Este tipo de fallas reciben muchos
nombres, por ejemplo, fallas reveladas, fallas descubiertas y fallas de inicio. El término
utilizado en los estándares es “falla segura”. Las fallas seguras tienden a ser muy costosas en
términos de paros innecesarios en la producción. Cuando un sistema tiene demasiadas fallas
seguras provoca que el personal desconfíe de ellos, como resultado se crean bypass para
anular dichas fallas. Algunos accidentes fatales han tenido lugar debido al bypass de sensores
o partes del SIS mientras el proceso seguía ejecutándose. Otro tipo de fallas son aquellas en
las que el sistema no responde ante una demanda real, dichas fallas pueden denominarse
fallas ocultas, fallas cubiertas o fallas inhibidoras. Los estándares se refieren a este tipo de
fallas como “fallas peligrosas”. Si un sistema falla de esta manera podría ser potencialmente
peligroso. La única manera de revelar estas fallas es realizando pruebas en el sistema antes de
que entre en operación.[7]

Fallas Detectadas/No detectadas

Las fallas peligrosas son clasificadas como fallas peligrosas no detectadas (Dangerous
Undetected, DU) y fallas peligrosas detectadas (Dangerous Detected, DD). Las fallas
detectadas están relacionadas con diagnósticos automáticos (el sistema detecta por sí solo
cuando se da una falla). Las fallas seguras reciben la misma clasificación [7].
Falla sin efecto
Se define como la falla de un componente que es parte de la función de seguridad pero que
no tiene efecto en la misma. Dichas fallas son clasificadas como fallas seguras no detectadas
de acuerdo a la norma IEC 61508. Se debe notar que estas fallas no afectan la confiabilidad o
seguridad del sistema y no son incluidas en cálculos de activaciones esporádicas [7].

IEC 61508

La Comisión Electrotécnica Internacional lanzó este estándar global para sistemas

instrumentados de seguridad que abarca múltiples industrias como transporte, médica,
nuclear y de proceso.

Su objeto principal es servir de guía para que otras industrias individuales puedan desarrollar
sus propios estándares y la validación de nuevas tecnologías desarrolladas para aplicaciones
relacionadas con seguridad, por ello a esta norma también se la conoce como el “estándar de
los vendedores”.

Este documento consta de siete partes:

1.- Requerimientos generales.- Describe los pasos que son necesarios para la identificación
de peligros y riesgos, para de esta manera definir la reducción de riesgos necesaria para
diferentes sistemas y las actividades necesarias para realizar la integración total del sistema.

2.- Requerimientos para sistemas Electricos/Electronicos/Electronicos Programables

(E/E/PE) relacionados con seguridad.- Provee los requisitos para diseño del hardware y su
integración con el software.
3.- Requerimientos de software.- Define los requerimientos para la selección,
implementación y verificación de las herramientas de software, aplicaciones y lenguajes de
programación.

4.- Definiciones y Abreviaciones.- Es una lista de definiciones y abreviaturas utilizadas en el

estándar.

5.- Ejemplos de métodos para la determinación de los niveles integrados de seguridad.-

Hace referencia a métodos para determinar el SIL.

6.- Guías en la aplicación de IEC 61508-2 y IEC 61508-3.- Se refieren a lineamientos para
aplicación de la parte 2.

7. Revisión de técnicas y medidas.- Recomendaciones específicas.

Las primeras tres partes son normativas mientras que las otras cuatro partes proveen
informativos al estándar [9]

Guia industrial IEC 61511

La primera Norma IEC 61511 fue publicada en el año 2003 y cubre los requisitos de diseño y
gestión de SIS desde la cuna hasta la tumba constituyendo un Ciclo de Vida completo lo que
constituye el mayor valor de la misma. Su ámbito de aplicación incluye: el diseño conceptual
y básico, el diseño e ingeniería de detalle, montaje e implementación, pruebas, operación y
mantenimiento, modificaciones y eventualmente una eliminación de parte o del completo
SIS. Se inicia en la primera fase de un proyecto y continúa hasta la puesta en marcha.
Contiene secciones que cubren las eventuales modificaciones, junto con las actividades de
mantenimiento y las actividades de posibles desmantelamientos.

La Norma consta de tres partes:

1. Marco, definiciones, sistema y requerimientos de hardware y software .

2. Directrices y guías para la aplicación de la Norma IEC 61511-Parte1.
3. Orientación y guías para la determinación de los niveles requeridos de integridad de
seguridad (SIL).

Actualmente se ha editado la 2ª edición de la Norma (2016) que en lo que afecta a la parte

1se ha publicado en febrero de 2016 y a las partes 2 y 3 en julio de 2016.

ISA 84.01/IEC 61511 requiere un sistema de gestión para cada SIS. El SIS se compone de
una combinación separada e independiente de sensores, revolvedores de lógica, elementos
finales y sistemas de apoyo que se diseñan y gestionan para conseguir un nivel de integridad
de seguridad especificado (SIL). Un SIS puede estar formado por una o más funciones
instrumentadas de seguridad (SIF), que son diseñadas e implementadas para hacer frente a un
peligro de proceso específico o suceso peligroso.

El sistema de gestión del SIS debe definir cómo un propietario/operador tiene intención de
evaluar, diseñar, verificar, instalar, validar, operar, mantener y mejorar continuamente sus
SIS. Las funciones esenciales del personal asignado a la gestión del SIS deben estar
contempladas y bien definidas en procedimientos, según sea necesario, para apoyar la
ejecución coherente de sus responsabilidades.

ISA 84.01/IEC 61511 utiliza un orden de magnitud métrica, el SIL, para establecer el
objetivo necesario. Un análisis de riesgos operativo es parte del ciclo de vida para identificar
las funciones de seguridad necesarias y la reducción del riesgo respecto a determinados
eventos peligrosos. Las funciones de seguridad asignadas al SIS son las funciones
instrumentadas de seguridad (SIF), la reducción del riesgo, atribuido a cada una de ellas, se
relaciona con el SIL. La base de diseño y operación se ha desarrollado para garantizar que el
SIS cumple con el SIL requerido. Los datos de campo se recogen a través de actividades
programadas para evaluar el rendimiento real del SIS. Cuando los rendimientos no se
cumplen, deben tomarse medidas para cerrar la brecha, asegurando un funcionamiento seguro
y fiable [11]

RIESGOS DE NO USAR SIS.

Cuantos más riesgos un sistema tiene, más difícil es satisfacer los requisitos de un sistema
seguro. Básicamente, el riesgo es la suma de la probabilidad de suceder algo indeseable con
la consecuencia de esta ocurrencia.

El riesgo de un proceso se puede definir como el producto de la frecuencia de ocurrencia de

un cierto evento (F) por la consecuencia resultante de la ocurrencia del evento (C).

Este análisis es insatisfactorio pues es difícil clasificar lo que sea un impacto pequeño y un
impacto grande. [12]

Hay varios métodos de identificación de los riesgos:

● Técnica de HAZOP (Hazard and Operability Study) donde se identifican los riesgos y
se son necesarios niveles de SIL mayores;
● Técnica de Listas de Chequeo;
 ● Técnica de FMEA (Modos de Fallos y sus Efectos), que analiza el fallo de cada
equipo y componente del circuito de control.

En términos de nivel SIL, cuanto mayor es el nivel exigido, mayor será el costo, debido a las
especificaciones más complejas y estrictas de hardware y software. Normalmente la elección
del SIL de cada función de seguridad está asociada a la experiencia de los profesionales, pero
se puede optar por el análisis de la matriz de HAZOP o aún el Análisis de los extractos de
Protección (LOP – Layers of Protection), que abarcan la política, los procedimientos, las
estrategias de seguridad y la instrumentación.[13]

Siguen algunas etapas y detalles del Análisis de Riesgos:

● Identificación de riesgos potenciales

● Iniciar con HAZOP (Estudio de Peligro y Problemas Operacionales).
● La empresa debe tener un grupo de especialistas en el proceso y sus riesgos.
● Se pueden aplicar diversas tecnologías como PHA (Proceso de Análisis de Peligros),
HAZOP para identificación de riesgos, HAZOP modificado, consecuencias de
accidentes, matriz de riesgos o análisis cuantitativo para identificación del nivel de
seguridad deseado.
● Las normas sugieren metodologías para identificación de SIL.
● Los métodos disponibles son cualitativos, cuantitativos o semicuantitativos.

Bibliografía
[ 1 ] Antolín, A. P. (2011). Seguridad funcional: aportación de mantenimiento a la seguridad
funcional. Mantenimiento: ingeniería industrial y de edificios, (243), 19-23.
[ 2 ] Martínez, R. M. (2015). Seguridad funcional en las industrias de procesos que utilizan
sustancias muy peligrosas.
[3] NERI, J. (2019). Conceptos Básicos: ¿Qué son los Sistemas Instrumentados de Seguridad
(SIS)?. Recuperado de:
https://www.isamex.org/intechmx/index.php/2020/06/22/conceptos-basicos-que-son-los-siste
mas-instrumentados-de-seguridad-sis/

[4] Technology Smar. (2018). SIS – Sistemas Instrumentados de Seguridad

https://www.smar.com/espanol/articulos-tecnicos/sis-sistemas-instrumentados-de-seguridad

[5] Madrid. (2018). analisis y cuantificacion del riesgo

http://www.madrid.org/cs/StaticFiles/Emprendedores/Analisis_Riesgos/pages/pdf/metodologi
a/4AnalisisycuantificaciondelRiesgo%28AR%29_es.pdf
[6] Layer of Protection Analysis, Simplified Process Risk Assessment, Center for Chemical
Process Safety ofThe American Institute for Chemical Engineers. New York 2001, ISBN
0-8169-0811 -7.
[7] Isidro Rius Sintés. (1942). La Seguridad Industrial.

[8]. Gruhn, P. y Cheddie, H. (2006) Safety instrumented systems: design, analysis, and
justification. The Instrumentation, Systems, and Automation Society.

[9].Barreto, R., Barreto, J., Autor, J., Autor, Fernando, Riera, V., & Venegas, F. (n.d.). .
Retrieved from website:
https://dspace.ups.edu.ec/bitstream/123456789/6870/1/UPS-CT003539.pdf

[‌ 10] IEC 61508. Functional safety of electrical/electronic/programmable electronic

safety-related systems, International Electrotechnical Commission, 1997.

[11] F. V. Riera,
«https://dspace.ups.edu.ec/bitstream/123456789/6870/1/UPS-CT003539.pdf,»
https://dspace.ups.edu.ec/bitstream/123456789/6870/1/UPS-CT003539.pdf, Cuenca, 2013.

[12] IEC 61511-1, clause 11, " Functional safety - Safety instrumented systems for the
process industry sector - Part 1: Framework, definitions, system, hardware and software
requirements", 2003-01

[13] ESTEVES, Marcello; RODRIGUEZ, João Aurélio V.; MACIEL, Marcos. Sistema de
intertravamento de segurança, 2003.

[14] I. J. A. NERI, «Nivel de Integridad de la Seguridad- Safety Integrity Level SIL norma
IEC 61511», IMEPI, feb. 28, 2019.
https://imepi.com.mx/que-es-el-nivel-de-integridad-de-la-seguridad/ (accedido ago. 02,
2021).

[15] Cerón, A. (2020, 10 enero). Ana Cerón. ISA Sección Central México.
https://www.isamex.org/intechmx/index.php/2018/01/03/funcionamiento-del-sis/

[16] Rodríguez, R. (2021, 1 marzo). IEC 61511. Consultoría en Seguridad Funcional.

https://grupocsf.com/10-cosas-iec-61511/

[17] Enertria, E. (2019, 22 diciembre). Parámetros clave para calcular la PFDavg de la SIF.
Seguridad Funcional. https://safetyandsis.com/es/parametros/